原作者:RiyazFaizullabhoy与MattGleason
原标题:《Web3Security:AttackTypesandLessonsLearned》
编译:胡韬,链捕手
web3的大量安全性取决于区块链做出承诺和对人为干预具有弹性的特殊能力。但是最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的去中心化计算机网络——及其伴随的技术和应用程序积累价值,它们越来越成为攻击者梦寐以求的目标。
尽管web3与早期的互联网迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发商、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和钱包免受潜在的窃贼的侵害。下面我们根据经验提出一些常见的主题和预测。
跟着资金
攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议,因为潜在的回报更大。
资源最丰富的黑客组织更经常瞄准高价值系统。新颖的攻击也更频繁地针对这些珍贵的目标。
低成本攻击永远不会消失,我们预计它们在可预见的未来会变得更加普遍。
a16z Crypto政策负责人称愿与美国众议院金融服务委员会合作:金色财经报道,a16z Crypto政策负责人Brian Quintenz在社交媒体发文表示,美国众议院金融服务委员会最新拟议的数字资产市场架构法案并不完美,但有正确目标,也是美国政府为提供清晰的加密和去中心化区块链需求而做出的努力,旨在保护美国消费者的同时保持美国的创新和经济机会。负责任的加密货币和区块链公司一直在要求监管机构和政策制定者制定明确的规则,清晰透明的立法是无可替代的,Brian Quintenz称a16z Crypto期待与美国众议院金融服务委员会合作,提供区块链技术所需的清晰度和规则。[2023/6/4 11:56:27]
修补漏洞
随着开发人员从久经考验的攻击中学习,他们可能会将web3软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API,?以使人们更难错误地引入漏洞。
虽然安全始终是一项正在进行中的工作,但防御者和开发人员可以通过消除攻击者的大部分低成本果实来提高攻击成本。
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。
无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。
a16z发布加密行业新报告并推出新的加密货币指数:4月11日消息,a16zCrypto今日发布2023年加密货币状况报告,并推出加密货币状况指数(STATEOFCRYPTOINDEX),这是一种从技术而非金融角度跟踪加密行业健康状况的交互式工具,该指数代表了14个行业指标的加权平均每月增长——从经过验证的智能合约的数量到交易钱包的数量等。报告的主要要点有:1.区块链有更多的活跃用户,更多的参与方式;2.DeFi和NFT活动似乎再次上升;3.加密行业活跃开发者数量保持稳定;4.区块链正在通过有前途的新途径扩展;5.曾经几乎不可能的新技术正在变得非常真实;6.美国正在失去其在web3领域的领先地位;7.缩小显示进度。[2023/4/11 13:57:21]
分类攻击
对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来web3安全性的发展方向。
APT操作:顶级掠食者
通常称为高级持续威胁(APT)的专家对手是安全的恶魔。他们的动机和能力差异很大,但他们往往富有而且坚持不懈。不幸的是,他们很可能会一直在身边。不同的APT运行许多不同类型的操作,但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。?
社交协议Farcaster完成3000万美元融资,a16z领投:7月13日消息,去中心化社交协议 Farcaster 完成 3000 万美元融资,本轮融资由 a16z 领投,Standard Crypto、Elad Gil、1confirmation、Scalar Capital、First Round Capital、Volt Capital、A Capital、Todd and Rahul's Angel Fund、Coinbase Ventures、Mischief、Ansa Capital、Haystack、Ribbit Capital、Chapter One、Multicoin Capital 、Offline Ventures、Archetype、Canonical Crypto、Proof Group、Floodgate、Balaji Srinivsasan、6529、Ray Tonsing 等参投。Farcaster 已发布协议和客户端初始版本,正在开发 Farcaster v2 中,并计划在今年晚些时候推出。[2022/7/13 2:09:14]
我们知道一些高级团体正在积极瞄准web3项目,我们怀疑还有其他人尚未确定。最受关注的APT背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的APT之一是Lazarus,这是一个朝鲜组织,美国联邦调查局最近称其进行了迄今为止最大的加密黑客攻击。
a16z Crypto和Cultural Leadership Fund公布HBCU Token委托计划:2 月 11 日,a16z Crypto 和 Cultural Leadership Fund 公布 HBCU Token 委托计划,此次授权委托是扩大在治理过程中拥有有意义发言权的参与者群体的一种方式。当它有效地完成时,它最终是一种长期发展更高质量管理机构的方式。
a16z 创建了代表计划以允许更多人参与网络治理,与多元化的优秀代表网络合作,包括非营利组织、初创公司、学生俱乐部、社区领袖等。为 HBCU 学生和俱乐部举办的信息发布会将于 2 月 23 日举行。[2022/2/11 9:44:32]
例子:
Ronin验证器被攻击
轮廓
谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客。?
复杂性:高。
可自动化性:低
对未来的期望:只要APT能够将其活动货币化或实现各种目的,它们就会保持活跃。
以用户为目标的网络钓鱼:社会工程学
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord和被黑网站。如果你浏览垃圾邮件邮箱,你可能会看到数百次企图诱你泄露密码等信息或窃取你的钱财。?
加密货币初创公司Eco融资2600万美元,a16z Crypto领投:一家声称正在建立一种新型金融平台的加密货币初创公司Eco在第2轮融资中筹集了2600万美元,该笔投资由a16z Crypto领投,Founders Fund,Activant Capital,Slow Ventures,Coinbase Ventures,Tribe Capital,Valor Capital Group等也参与了融资。(CoinDesk)[2021/3/6 18:21:43]
现在web3允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。对于知识或技术专业知识很少的人来说,这些攻击是通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、抽干钱包的攻击。?
例子
直接针对用户的OpenSea网络钓鱼活动
针对前端应用程序的BadgerDAO网络钓鱼攻击
轮廓
谁:从脚本初学者到有组织的团体的任何人。
复杂性:低-中。
可自动化性:中等-高。
对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过增加教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。
供应链漏洞:最薄弱的环节
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回。在软件供应链中也不例外。
第三方软件库引入了很大的攻击面。在web3之前,这一直是跨系统的安全挑战,例如去年12月影响广泛的Web服务器软件的log4j漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补问题。
导入的代码可能不是由项目自己的工程团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的动力和健康状况。web3软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息,目前还没有定论。?
例子
Wormhole桥攻击
Multichain?漏洞
轮廓
谁:有组织的团体,例如APT、独立黑客和内部人士。
复杂性:中等。
可自动化性:中等。
对未来的期望:随着软件系统的相互依赖性和复杂性的增加,供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。
治理攻击:选举掠夺者
这是上榜的第一个特定于加密行业的问题。web3中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也打开了一个后门,可以引入恶意提案,如果实施可能会破坏网络。
攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。攻击者可以拿出大量的“闪电贷”来获得足够的选票,就像最近发生DeFi项目Beanstalk上的事件一样。导致提案自动执行的治理投票更容易被攻击者利用。然而,如果提案的制定存在时间延迟或需要多方手动签署,则可能更难实施。
例子
Beanstalk资金转移事件
轮廓
谁:从有组织的团体(APT)到独立黑客的任何人。
复杂性:从低到高,取决于协议。
可自动化性:从低到高,取决于协议。?
对未来的期望:这些攻击高度依赖于治理工具和标准,尤其是当它们与监控和提案制定过程有关时。
定价预言机攻击:市场操纵者
准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或压低资产价格是非法的,你可能会因此受到罚款或逮捕。在DeFi市场中,随机的用户能够“闪电交易”数亿或数十亿美元并导致价格突然波动,这个问题很明显。
许多web3项目依赖于“预言机”——提供实时数据的系统,是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但攻击者已经找到方法来这些所谓的真相来源。
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。
例子
Cream?市场操纵
轮廓
谁:有组织的团体(APT)、独立黑客和内部人士。
复杂程度:中等。
自动化:高。
对未来的期望:随着准确定价方法变得更加标准,可能会降低。
新漏洞:未知未知
“Zero-day”漏洞攻击——之所以这样命名,是因为它们在出现时就是只公开了0天的漏洞——是信息安全领域的热点问题,在web3安全领域也不例外。因为它们是突然出现的,所以它们是最难防御的攻击。
如果有的话,web3让这些昂贵的、劳动密集型的攻击更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个可以证明他们所有努力的错误。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;著名的重入漏洞曾发生在早期的以太坊项目?TheDAO上,如今继续在其它地方重新出现。
目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。
例子
PolyNetwork的跨链交易漏洞
Qubit的无限铸币漏洞
轮廓
谁:有组织的团体(APT)、独立黑客和内部人士。
复杂性:中等-高。
可自动化性:低。
对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着web3采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。
原作者:EshitaNandini,链捕手原标题:《TheAragonNetwork》 编译:胡韬,链捕手 Aragon项目成立于2017年,旨在支持去中心化治理.
作者:0x5willows,深潮TechFlow“你看,《BIGTIME》的这个画质多漂亮!”坐在对面的投资人一边展示测试视频,一边用湖南腔的普通话介绍着,显得格外欣喜.
作者:Web3erLiu,CatcherVC分析师近日,四大Layer2之一的Optimism发币的消息轰动了整个加密行业并引起广泛关注.
由金色财经主办的「在世界中心呼唤Web3」活动举行了第三场AMA,主题为「寻找下个加密独角兽」,嘉宾为JZLCapital东南亚负责人RoyZhang,FairyproofCEO谭粤飞.
作者:Kit,CatcherVC研究员? 引言 GregFoss有35年的高收益债券管理经验,曾经是加拿大首批开放高收益债券的管理经理之一.
链捕手消息,根据日前赛迪区块链研究院发布的《2021年我国区块链年度发展白皮书》(以下简称“白皮书”),我国区块链产业加速发展,产业规模不断攀升.